Hackers Ligados ao Paquistão Implementam Malware em Python, Golang e Rust em Alvos Indianos. – Virus Killer – Recuperação de Site Invadido por Vírus e Malware

O ator Transparent Tribe, com conexão no Paquistão, está ligado a uma nova série de ataques direcionados aos setores governamental, de defesa e aeroespacial da Índia, utilizando malwares de plataforma cruzada escritos em Python, Golang e Rust.

Essa atividade foi identificada no período entre o final de 2023 e abril de 2024 e a expectativa é que continue, de acordo com um relatório técnico publicado pela Equipe de Pesquisa e Inteligência da BlackBerry no início da semana passada.

A campanha de spear-phishing também é notável por abusar de serviços online populares como Discord, Google Drive, Slack e Telegram, destacando mais uma vez como os atores de ameaças estão incorporando programas legítimos em seus fluxos de ataque.

De acordo com a BlackBerry, os alvos dos ataques baseados em e-mail incluíram três empresas que são partes interessadas cruciais e clientes do Departamento de Produção de Defesa (DDP). Todas as três empresas visadas têm sede na cidade indiana de Bengaluru.

Embora os nomes das empresas não tenham sido divulgados, há indícios de que as mensagens de e-mail visaram a Hindustan Aeronautics Limited (HAL), uma das maiores empresas aeroespaciais e de defesa do mundo; a Bharat Electronics Limited (BEL), uma empresa governamental de eletrônicos aeroespaciais e de defesa; e a BEML Limited, uma empresa de economia mista que fabrica equipamentos para movimentação de terra.

Transparent Tribe também é rastreado pela comunidade de cibersegurança sob os nomes APT36, Datebug, Earth Karkaddan, Mythic Leopard, Operation C-Major e PROJECTM.

O coletivo adversário, acredita-se estar ativo desde pelo menos 2013, tem um histórico de operações de espionagem cibernética contra governos, militares e entidades educacionais na Índia, embora também tenha conduzido campanhas altamente direcionadas de spyware móvel contra vítimas no Paquistão, Afeganistão, Iraque, Irã e Emirados Árabes Unidos.

Além disso, o grupo é conhecido por experimentar novos métodos de intrusão e tem alternado entre diferentes malwares ao longo dos anos, iterando em suas táticas e ferramentas várias vezes para evitar detecção.

Algumas das famílias de malwares notáveis usadas pelo Transparent Tribe incluem CapraRAT, CrimsonRAT, ElizaRAT, GLOBSHELL, LimePad, ObliqueRAT, Poseidon, PYSHELLFOX, Stealth Mango e Tangelo, sendo os dois últimos vinculados a um grupo de desenvolvedores independentes baseados em Lahore.

Esses desenvolvedores estão “disponíveis para contratação” e “pelo menos um funcionário governamental trabalha como desenvolvedor de aplicativos móveis”, observou a empresa de segurança móvel Lookout em 2018.

As cadeias de ataques montadas pelo grupo envolvem o uso de e-mails de spear-phishing para entregar payloads usando links maliciosos ou arquivos ZIP, focando especialmente seus esforços na distribuição de binários ELF devido à alta dependência do governo indiano em sistemas operacionais baseados em Linux.

As infecções culminaram na implantação de três versões diferentes do GLOBSHELL, um utilitário de coleta de informações baseado em Python que foi documentado anteriormente pela Zscaler em conexão com ataques direcionados ao ambiente Linux dentro de organizações governamentais indianas. Também foi implantado o PYSHELLFOX para exfiltrar dados do Mozilla Firefox.

A BlackBerry também descobriu versões de script bash e binários do Windows baseados em Python sendo servidos a partir do domínio controlado pelo ator de ameaças “apsdelhicantt[.]in” – ‘swift_script.sh’, uma versão bash do GLOBSHELL; ‘Silverlining.sh’, um framework de comando e controle (C2) de código aberto chamado Sliver; ‘swift_uzb.sh’, um script para coletar arquivos de um pendrive conectado; ‘afd.exe’, um executável intermediário responsável por baixar win_hta.exe e win_service.exe; ‘win_hta.exe’ e ‘win_service.exe’, duas versões para Windows do GLOBSHELL.

Como sinal da evolução tática do Transparent Tribe, campanhas de phishing orquestradas em outubro de 2023 foram observadas utilizando imagens ISO para implantar um cavalo de Troia de acesso remoto baseado em Python que utiliza o Telegram para fins de C2.

Vale ressaltar que o uso de iscas ISO para alvejar entidades governamentais indianas vem sendo uma abordagem observada desde o início do ano como parte de dois conjuntos possivelmente relacionados de intrusão – um modus operandi que a empresa canadense de cibersegurança afirmou “possuir a marca de uma cadeia de ataque do Transparent Tribe”.

Uma análise adicional da infraestrutura também descobriu um programa “tudo-em-um” compilado em Golang que tem a capacidade de localizar e exfiltrar arquivos com extensões populares, tirar capturas de tela, fazer upload e download de arquivos e executar comandos.

A ferramenta de espionagem, uma versão modificada de um projeto de código aberto Discord-C2, recebe instruções do Discord e é entregue por meio de um downloader binário ELF empacotado em um arquivo ZIP.

“O Transparent Tribe tem como alvo persistentemente setores críticos vitais para a segurança nacional da Índia,” disse a BlackBerry. “Esse ator de ameaça continua a utilizar um conjunto central de táticas, técnicas e procedimentos (TTPs), que eles vêm adaptando ao longo do tempo.”

Você também pode gostar

Uma das Maiores Operações de Espionagem da China Deve seu Sucesso a Bugs Antigos do Microsoft Exchange, Ferramentas de Código Aberto e Malware Antigo

Mitre Revela Emb3D: Um Framework de Modelagem de Ameaças para Dispositivos Incorporados

Um Endpoint Ativado-por-Default em Serviço de Log Ubituo Fluent Bit Contém uma Falha que Hackers Podem Manipular para Abalar Qualquer Ambiente em Nuvem